Chiến dịch tấn công mã độc tống tiền Medusa

Nhóm tin tặc có liên hệ với Triều Tiên, được biết đến với tên gọi Lazarus Group, cũng được theo dõi với tên Diamond Sleet và Pompilus, đã bị phát hiện triển khai mã độc tống tiền Medusa trong một cuộc tấn công nhằm vào một tổ chức giấu tên ở Trung Đông. Các nhà nghiên cứu an ninh cũng đã xác định được một nỗ lực xâm nhập bất thành của cùng nhóm tin tặc này nhắm vào một tổ chức chăm sóc sức khỏe ở Hoa Kỳ.

Medusa hoạt động theo mô hình mã độc tống tiền dưới dạng dịch vụ (RaaS) và được ra mắt vào năm 2023 bởi một nhóm tội phạm mạng có tên Spearwing. Kể từ khi xuất hiện, nhóm này đã nhận trách nhiệm cho hơn 366 vụ tấn công. Việc xem xét cổng thông tin rò rỉ của Medusa cho thấy, bắt đầu từ tháng 11 năm 2025, bốn tổ chức chăm sóc sức khỏe và phi lợi nhuận có trụ sở tại Hoa Kỳ đã được liệt kê là nạn nhân. Trong số đó có một tổ chức phi lợi nhuận về sức khỏe tâm thần và một cơ sở giáo dục phục vụ trẻ tự kỷ. Vẫn chưa rõ liệu tất cả các vụ việc có phải do trực tiếp các đặc vụ Triều Tiên gây ra hay các chi nhánh khác của Medusa cũng chịu trách nhiệm cho một số vụ xâm nhập. Trong giai đoạn đó, số tiền chuộc trung bình vào khoảng 260.000 đô la.

Mô hình tiến hóa của phần mềm tống tiền trong các hoạt động của Triều Tiên

Việc các đơn vị an ninh mạng của Triều Tiên sử dụng mã độc tống tiền đã được chứng minh rõ ràng. Ngay từ năm 2021, một nhóm nhỏ thuộc Lazarus có tên Andariel (còn được gọi là Stonefly) đã tiến hành các cuộc tấn công trên khắp Hàn Quốc, Nhật Bản và Hoa Kỳ bằng cách sử dụng các họ mã độc tống tiền độc quyền như SHATTEREDGLASS, Maui và H0lyGh0st.

Vào tháng 10 năm 2024, nhóm này bị liên quan đến việc triển khai phần mềm tống tiền Play, báo hiệu một sự chuyển hướng chiến lược sang sử dụng phần mềm tống tiền có sẵn trên thị trường thay vì chỉ dựa vào các phần mềm tự chế.

Sự chuyển đổi này không chỉ giới hạn ở Andariel. Một nhóm tội phạm mạng khác của Triều Tiên, Moonstone Sleet, trước đây có liên quan đến phần mềm tống tiền tùy chỉnh FakePenny, được cho là đã nhắm mục tiêu vào các tổ chức tài chính của Hàn Quốc bằng phần mềm tống tiền Qilin. Nhìn chung, những diễn biến này cho thấy một sự điều chỉnh chiến thuật rộng hơn, trong đó các nhà điều hành Triều Tiên ngày càng hoạt động như các chi nhánh trong các hệ sinh thái RaaS (Residential Ransomware as a Service) đã được thiết lập thay vì duy trì các chuỗi công cụ tống tiền hoàn toàn độc quyền.

Bộ công cụ vận hành hỗ trợ Chiến dịch Medusa

Các hoạt động liên quan đến Medusa được cho là do Lazarus thực hiện bao gồm sự kết hợp giữa phần mềm độc hại được phát triển riêng và các công cụ tấn công có sẵn công khai. Các công cụ được quan sát bao gồm:

• RP_Proxy, một tiện ích proxy độc quyền.
• Mimikatz, một công cụ đánh cắp thông tin đăng nhập được sử dụng rộng rãi trong các hoạt động hậu khai thác lỗ hổng.
• Comebacker, một backdoor độc quyền của Lazarus.
• InfoHook, một phần mềm đánh cắp thông tin trước đây có liên quan đến các triển khai Comebacker.
• BLINDINGCAN (còn được biết đến với tên AIRDRY hoặc ZetaNile), một loại mã độc Trojan truy cập từ xa.

• ChromeStealer, một tiện ích được thiết kế để trích xuất thông tin đăng nhập đã lưu từ trình duyệt Chrome.

Mặc dù các chiến thuật tống tiền có nhiều điểm tương đồng với các hoạt động trước đây của Andariel, nhưng hoạt động hiện tại vẫn chưa được xác định chắc chắn là do một nhóm nhỏ cụ thể nào của Lazarus gây ra.

Ý nghĩa chiến lược: Chủ nghĩa thực dụng hơn là phát triển độc quyền

Việc sử dụng các biến thể mã độc tống tiền như Medusa và Qilin phản ánh tính thực dụng trong hoạt động. Phát triển và duy trì các dòng mã độc tống tiền tùy chỉnh đòi hỏi nguồn lực, thử nghiệm và cơ sở hạ tầng đáng kể. Việc tận dụng các nền tảng RaaS (Residential Service as a Service) đã được thiết lập cung cấp quyền truy cập ngay lập tức vào các khả năng mã hóa hoàn thiện, hỗ trợ vận hành và các cơ chế kiếm tiền đã được chứng minh. Cấu trúc phí liên kết có thể được xem là một sự đánh đổi hợp lý khi cân nhắc so với chi phí phát triển và bảo trì.

Nhắm mục tiêu dai dẳng và không hạn chế

Việc chuyển hướng sang sử dụng phần mềm tống tiền có sẵn càng nhấn mạnh sự tham gia bền vững của Triều Tiên vào tội phạm mạng vì mục đích tài chính. Mô hình lựa chọn mục tiêu cho thấy sự hạn chế tối thiểu, với các tổ chức ở Hoa Kỳ, bao gồm cả các tổ chức chăm sóc sức khỏe, nằm trong tầm ngắm. Mặc dù một số nhóm tội phạm công khai tuyên bố tránh các mục tiêu trong lĩnh vực chăm sóc sức khỏe để giảm thiểu thiệt hại về danh tiếng, nhưng dường như không có giới hạn tương tự nào được thể hiện trong các hoạt động liên quan đến Lazarus.